关于一种匿名性科研信息系统的研究

摘 要 探讨教研、科研的文献何其多，引入密码学理念的信息系统则相对较少，尤其对教研、科研类的系统，没有文献从信息安全的角度来论述。本研究以此理念为出发点，剖析科研信息系统的框架与流程，提出一个具备双盲机制的科研信息系统，共有3个引理、3个定义及19个方程式来贯穿整篇文章。结果表明运用匿名性科研信息系统，更有利于科研项目的公平审核。另外，本系统较为小巧，可作为管理信息系统或办公室系统的一部分。

关键词 数字签名；ElGamal算法；匿名性；双盲机制

信息科技蓬勃发展伴随网络普及，各行业无不使用计算机来提高工作效率以及改善人工处理带来的缺失，信息管理系统的引入是改善复杂性管理的重要工程，不但可降低管理成本，提高工作效率，还可有效掌握企业內部营运危机，增加企业在市场经营中的竞争优势。然而匿名功能是科研信息系统设计中重要关键性技术，不但要符合实际行政流程，而且要达到信息安全不泄密，才能真正发挥本信息系统设计之目的，其技术可广泛应用于各行业及相关领域。

匿名科研信息系统需具备高度安全性设计，使得用户信任该系统的匿名功能，而积极申报项目。经办人在知情但不知名情况下协助申报材料的送审，并且要预防经办人与申报人之间的舞弊行为，倘若查证申报材料与内容不实，系统中心及经办人有权对申报人进行身份解码，并追究申报人责任，另一方面也杜绝经办人徇私舞弊所产生的问题。张小彤[1]等人在2016年以RSA及 ElGamal两种算法为基础，对两种算法进行改良，引入数字签名技术，将融合后的两种算法应用在内控信息系统。2017年严寒冰[2]等人，基于2016年张小彤的文章，做了修正一些漏洞性风险，在相同模型基础下，调整算法增强整体安全度。本研究基于这样的设计精神及理念，将其应用于教研教改信息系统的设计之中。涉及算法共计8个阶段，分别是：系统初始化阶段、注册阶段、核发账号阶段、文件提交阶段、经办人处理阶段、邀请外审阶段、外审结果阶段、确认结果与发布阶段。后7个阶段为主要讨论内容，本方案满足计算安全及理论安全的要求。

1 文献回顾

纵观国内学者探讨的科研信息系统[3-5]，多以计算机角度的思微模式为出发点，其视野及观点不外乎是“程序员为主”和“使用者为辅”。其内容犹如在看入门的软件开发设计书籍。另一类学者，则着重在管理层面的讨论，比如科研项目的研究方向、政策的拟定、项目的实施手段等[1-2，6-7]。虽然国外没有科研这类信息系统，国外的信息系统之设计讲究理论推导，用什么方案来实现，采用什么样的算法，以及在什么样的操作系统环境，有扎实的逻辑推理及数学模型，可在不同的计算机模型下实现其真实系统。而国内讲究系统实际的设计层面，只要把系统设计出来即可。前者较能抵挡软件或计算机所衍生的各种安全问题，后者甚难抵抗软件安全或计算机安全方面的威胁。国外是形而上学，国内是形而下学。近几年，有多位学者[8-9]将信息安全之数字签名技术引入信息系统中，让理论与实际情况相结合，本文亦以此设计理念，提出一套具有匿名性的科研信息系统，期望能抛砖引玉，让此类系统精益求精。

2 本研究方法

本文延伸信息安全技术及管理的概念，具体将密码学及信息安全机制引入科研信息系统的审查制度，结合ElGamal算法[10]，使算法满足科研信息系统之要求。在提交材料过程中，信息系统可设定知道或不知道提交人身份（双盲机制），基于这个设计理念，经办人被动式知道或不知道提交人身份。本文为有条件式匿名方案，在提交过程中，提交人与外审专家彼此间是相互匿名，经办人与外审专家亦相互匿名，信息系统及经办人在两者之间是扮演联络人及发布结果角色。

图1 本方案概念图

此算法核心共有7个阶段，分别是：注册阶段、核发账号阶段、提交材料阶段、经办人提取材料阶段、经办人邀请外审专家阶段、外审专家同意审查阶段以及经办人确认审查内容与发布内容阶段，每一阶段之详细过程如下描述：

步骤1：教师用户向系统注册账号；

步骤2：系统向用户核发账号；

步骤3：用户通过系统提交材料；

步骤4：科研部门经办人从系统获取提交材料；

步骤5：经办人向外审专家发出审查邀请；

步骤6：外审专家同意审查并回传审查后意见；

步骤7：经办人确认审查内容并准备公布结果。

符号定义及其意义：

：为一素数，通常为1024比特以上长度

：为素数 之原根

：为一公钥值

：为一私钥值

2.1 系统初始化阶段

在系统初始化阶段，所有的使用者如教师用户、系统中心、经办人及外审专家皆设定自己的账号与密码，通过系统来共享原根参数 及一大质数 。

用户随机选取一个数做其密钥，令其满足 ，并计算他的公钥

（1）

系统中心（科研信息系统中心）随机选取自己的私钥值 ，计算自己的公钥值 将其公布：

（2）

经办人 （科研部门人员） 随机选取自己的私钥值 ，计算自己的公钥值 将其公布：

（3）

外审专家随机选取自己的私钥值 ，计算自己的公钥值 将其公布

（4）

如图2所示。

图2 系统初始化阶段

2.2 注册阶段

用户使用自己的密钥以及系统中心的公钥 来计算出一个临时有效的账号

（5）

并以此账号 向系统中心注册。

图3 注册阶段

2.3 核发账号阶段

当系统中心接收来自用户注册的 时，通过核准并回传 ，即

（6）

且

（7）

详见图4所示

图4 核发账号阶段

2.4 文件提交阶段

用户取得一个有效账号，即以此账号经由匿名的方式提交所需要的电子材料，

（8）

如图5所示

图5 文件提交阶段

2.5 经办人处理阶段

系统中心收到用户的提交材料时，会将材料转发给经办人处理，过程见方程式（9）及图6。

（9）

图6 经办人处理阶段

2.6 邀请外审阶段

经办人接到系统中心的通知之后，即邀请外审专家进行审查，见方程式（10）及图7。

（10）

图7 邀请外审阶段

2.7 外审结果阶段

外审专家接到邀请并同意审查时（详见计算方程式（11）及 （12）），并将结果传回给经办人，如图8所示

（11）

and

（12）

图8 外审结果阶段

2.8 确认结果及发布阶段

当经办人收到外审专家的反馈意见及内容时，能识别内容并公布审查结果，见方程式 （13） 及图9。

（13）

图9 确认结果及发布阶段

证明：

（14）

图10 本方案参数传递图

3 安全性分析

定义1.离散对数问题 （Discrete Logarithm Problem， DLP）

当计算式为 ，已知参数，

欲求参数，若素数值越大时，则很难经由现有的已知算法计算出值，让为计算上之不可能，此种情况与条件，称之为解离散对数问题 （Solving Discrete Logarithm Problem）。现行以离散对数为基础的公钥密码系统，其值参数皆大于1024 比特长度（bit length）或是2048比长度以上。

定义2.迪菲-赫尔曼计算问题 （Computation Diffie-Hellman Problem， CDHP）

迪菲-赫尔曼计算问题，是源自于迪菲-赫尔曼密钥交换原理（Diffie–Hellman key exchange）。主要思想描述如下：

给定值，求出值。

在这里，为已知参数，及为未知参数。

定义3.迪菲-赫尔曼决策问题 （Decisional Diffie-Hellman Problem， DDHP）

迪菲-赫尔曼决策问题为迪菲-赫尔曼计算问题之变形，给定 ，求出群中条件满足情况。

给定 值，求出值。

在这里，为已知参数，皆为未知参数。

3.1 理论安全层次分析

引理1.如果用户诚实，则方程式（6）成立，即系统中心验证用户。

证明：已知用户以向系统中心注册 （5）

系统中心可通过自己的密钥计算

（6）

如果不相等，则判定用户存在欺骗。然而用户在方程式 （1）诚实动用到自己的密钥，用户自然无法否认其行为。因此，本方案具备用户不可否认性。

引理2.如果系统中心诚实，则方程式（7）成立，即用户验证系统中心。

证明：已知系统中心以 对 计算得出 ， （5）

并将回传给用户，用户可计算 （15）

如果不相等，则系统中心可能存在欺骗问题。

（15）

引理3.如果经办人诚实，则方程式（9）成立，系统中心验证经办人。

证明：已知系统中心将 传送给经办人， （9）

由于用户与经办人并无直接往来，经办人当然无法得知用户的真实身份以及所提交的材料内容，经办人若要解开 内容，则必须动用自己的密钥来进行解密，过程如方程式（16）所示。

（16）

（17）

引理4.如果经办人与外审专家两两互相诚实，则方程式 （10）及（12）成立，经办人与外审专家可相互验证。

证明：已知经办人将传送到外审专家，外审专家诚实用自己的密钥来进行解码，可将还原为，即方程式（11），否则外审专家具有欺骗行为，见方程式（18）说明。

（18）

外审专家将回传经办人，若经办人诚实，用自己的密钥进行解码，则经办人可获得审查意见，即方程式 （13）；否则经办人有欺骗的行为，见方成式（19）说明。

（19）

3.2 实务安全层次分析

表1 本方案模式框架

模型

编号经办人可见

用户身份经办人可见

用户内容外审专家可见用户身份外审专家可见用户内容备注

10000

20001

30010

40011

50100

60101v

70110

80111

91000

101001

111010

121011

131100

141101

151110

161111

如表1所示，表中內容以 1代表“是”，0 代表“否”，比如 模型8为0111即表示经办人不知道用户身份知道用户提交内容，且外审专家知道用户身份也同时可见用户提交内容；其他依此类推，共分为16种排列组合情况。

本研究方案属于模型6，即经办人不知道用户身份，但在某种条件下可以看见提交内容；另一方面，外审专家也不知道用户身份，但能够看见用户所提交的内容。

用户身份泄漏疑虑：用户向系统中心提交材料时，身份具备匿名性，经办人纵使通过方程式（16）取得原始内容，经办人还是无法得知用户原始的身份。外审专家通过方程式（11）取得内容，并不代表外审专家知道用户身份。因此，用户身份对经办人及外审专家而言，皆是匿名状态，某种程度上，在这个环节防堵身份遭到泄漏。

泄漏内容风险：假使系统中心遭受入侵，黑客尝试通过系统中心取得用户所提交的内容是徒劳无功地。只有经办人及外审专家在特定条件下，可以将数字化内容还原成，系统中心在任何一个环节，比如方程式（8）、（9）及（13），皆无能无为力将加密过的数字化内容还原成。 倘若黑客与经办人或是与外审专家任何一方串通，由于经办人或外审专家最多只能得到，并没办法得到身份，在原始内容遭到泄漏的风险下，仍然不用当心身份曝光的问题。

密钥盗用问题：用户、系统中心、经办人及外审专家四方各自保管自己的密钥，虽然各自的公钥是公开的，黑客并无法通过已知的公钥去计算出所对应的密钥（定义1的离散对数问题，已充分叙述）。除非拥有密钥的任何一方，自己泄漏所持有之密钥，本研究不考虑这个假设。

4 结束语

本研究率先提出改良 ElGamal 算法于科研信息系统之应用中，这个信息系统具备匿名性，任何参与项目申报的用户，其身份都被严格的保密起来。倘若用户所申报的内容与事实不符，则经办人和系统中心，可以在特定的条件之下，对匿名身份进行追踪，最后将匿名身份还原为实名制的用户身份，如此一来，既可保障用户的身份免于曝光之虞，另一方面又能遏止用户恶意乱申报项目。此方案可谓两全其美。本研究方案累计提出 3个引理（lemma）、3个定义（definition） 及19个方程式（equation），来贯穿全文，为论文提供一个强而有力的理论支撑，最后将此构想付诸实现于真实系统，达到理论与实践相结合的效果。

参考文献

[1] 蒋伟，张弦.高校科研管理系统现状及发展方向[J].科技信息，2013，

（20）：67-68.

[2] 潘道华.高职院校“互联网+科研信息数据”管理决策支持系统[J].电子技术与软件工程，2018，（10）：185.

[3] 藍静.高校科研管理信息系统的优化设计初探[J].中国管理信息化，2018，21（02）：105-106.

[4] 桂林斌.基于Java EE的高校科研成果管理系统的设计与实现[J].电脑与电信，2018，（Z1）：24-27.

[5] 陈多泽.基于Web的科研项目管理系统的设计和实现[J].电脑迷，

2018，（02）：36-38，234.

[6] 刘沐，谢素萍，皮新玲，等.从科研项目管理现状谈高校项目管理系统设计[J].中国管理信息化，2011，14（02）：47-50.

[7] 严炜炜，张敏.科研协同中的数据共享与利用行为模式分析[J]，情报理论与实践，2018，41（01）：55-60.

[8] 张小彤，刘政连，方捷.基于双重复杂度与匿名性的内控信息系统之研究[J].福建师范大学福清分校学报，2016，（5）：27-34.

[9] 刘政连，许介文，陶春源，等.基于可匿名性的信访信息系统之研究[J].福建师范大学福清分校学报，2018，（2）：46-52.

[10] Taher ElGamal.A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms[J].IEEE Transactions on Information Theory，1985，31（4）：469-472.

作者简介

叶小莺（1981-），女，学历：硕士研究生，讲师，研究方向：软件工程。

推荐访问： 信息系统 科研 匿名 研究

---